北京赛克艾威科技有限公司 2026-06-24
Gogs 是一款开源的、轻量级、自托管的 Git 服务软件,使用 Go 语言编写,旨在提供一个简单、快速且可扩展的代码托管解决方案。它支持 Git 仓库管理、代码审查、Wiki、问题追踪、组织与团队管理等功能,用户可以在私有服务器上快速部署自己的 Git 服务,无需依赖第三方平台。Gogs 以其低资源占用和易部署性著称,适合个人开发者、小型团队及企业内部使用,提供了与 GitHub 类似的核心功能体验。 该漏洞源于 Gogs 在路由配置中组织团队和成员管理相关端点同时接受 GET 和 POST 请求,而全局 CSRF 防护仅对 POST 请求生效,导致状态变更操作可通过 GET 请求绕过保护。 攻击者可构造包含特定参数(如 uid、uname 和 action\=add)的恶意链接,诱导已登录的组织所有者点击,即可将攻击者控制的用户添加到 Owners 团队,从而获得组织所有者等效权限。攻击者可利用该漏洞完全控制目标组织所有私有代码仓库、修改站点配置、删除项目、篡改成员权限,造成代码泄露、业务中断等严重安全危害。
暂无